2022 年,教育部門遭受的網絡攻擊增加了 44%。僅在英國,十分之六的高等教育機構報告稱,每周至少 攻擊或違規 。該行業面臨的越來越多的威脅正在對教學造成重大干擾,甚至迫使學校和大學關閉。
在優先考慮安全性和採用最新技術方面,教育部門一直落後於其他主要行業。這種缺乏緊迫感是教育成為如此脆弱目標的部分原因。許多學校仍在使用容易滲透的過時且不受保護的技術。儘管不是現金充裕的目標,但這些設施擁有大量個人和財務數據,可用於未來的攻擊或在暗網上出售。
許多此類違規行為是由多種因素共同造成的,例如憑據填充、密碼管理不當和軟件漏洞。因此,教育機構和教育科技提供商都必須在保護該行業方面發揮更加勤奮的作用。雖然組織需要優化其遺留安全實踐並提高意識,但 EduTech 供應商還必須嘗試通過在其解決方案和系統中集成主動安全措施來彌合這一差距。
威脅教育部門的風險和漏洞
當涉及到足夠的產品安全措施和更新時,EduTech 開發人員不一定會採取足夠的措施來保護他們的客戶免受破壞性網絡攻擊。
在我們最近的調查中,Rapid7 發現了影響 Cengage(美國領先的 EduTech 提供商之一)的網絡學習解決方案中緩存憑證的嚴重漏洞。 Cengage 為高等教育機構提供多種數字解決方案,包括電子教科書、在線學習平台和家庭作業工具。
他們的學習工具集成 (LTI) 管道中發現的漏洞可能允許威脅參與者訪問用戶的瀏覽器會話或網絡代理日誌。從那裡,他們可以讀取或更改學生的個人信息,甚至可能劫持教師或管理員的會話。
但是,並非所有漏洞都來自供應商的產品和解決方案。例如,教育機構也是共享計算機的溫床。許多學生和老師經常在他們之間使用同一台計算機,如果某個設備或用戶帳戶遭到破壞,會增加可能造成的損害。最近的一項研究發現,高等教育部門在主動安全意識方面的得分一直最低。這為威脅行為者創造了一個相當容易的範圍來破壞機器並使用橫向移動來獲得更高的管理員訪問權限並破壞整個網絡。
網絡攻擊對教育部門的影響
在這個領域,教育技術開發人員缺乏意識和監督可能會付出高昂的代價,不幸的是,最終為此付出代價的是學生和老師。攻擊者的目標通常是破壞對學校網絡上基本數字資源的訪問,這可能會停止學習和服務的提供——使學生無法訪問講座、提交作業或訪問其他關鍵資源。
在許多情況下,攻擊者還要求支付勒索軟件費用,使本已陷入困境的教育機構面臨進一步的財務壓力。去年,伊利諾伊州的林肯學院在勒索軟件攻擊後被迫停止運營,勒索軟件攻擊加劇了 COVID-19 大流行後的財務困難。該攻擊擾亂了招生活動和機構數據,從而顯著影響下一學年的入學預測。
同樣,英國朴茨茅斯大學也受到勒索軟件攻擊的影響,迫使其部分校園關閉並推遲了新學期的開始,對已經應對大流行病挑戰的學生造成了進一步的干擾。
雖然對高等教育的干擾可能很嚴重,但勒索軟件攻擊對小學的潛在影響可能影響深遠,如果孩子的學校被迫關閉,父母可能不得不留在家裡不上班。突然間,網絡攻擊不僅影響到教育部門,還影響到不同行業的企業。
採取積極主動的態度
EduTech 開發人員必須在以下方面承擔更大的責任支持教育部門抵禦網絡攻擊。提供給學校、大學和其他教學機構的技術必須定期更新,並且必須盡快修補漏洞。必須建立更好的漏洞報告流程和及時修補程序,並在更新可用時保持強有力的溝通。
教育工作者還應就安全軟件開發、漏洞報告流程方面的經驗向技術供應商提出探究性問題,以及典型的補丁週期。已發布的漏洞披露計劃 (VDP) 的存在是一個很好的指標,表明公司了解現代漏洞實踐。
由於預算緊張以及代理等安全概念之間的潛在衝突,確保學校安全可能具有挑戰性防火牆和學術自由。甚至可能存在來自耐心的學生黑客試圖攻擊他們自己的網絡的額外內部威脅。 EduTech 提供者和教育工作者之間的協作對於確保雙方了解安全網絡設計和透明漏洞報告流程的重要性是必要的。
網絡分段是防止攻擊者橫向移動和控制漏洞的有用方法網絡。還應提醒教育提供者註意良好的網絡衛生習慣,例如共享計算機的使用和密碼長度。在整個教學機構實施更好的做法可以對預防攻擊產生重大影響。一個更複雜的密碼和一個鎖定的共享工作站可以提供比許多人意識到的更好的攻擊保護。
這些積極的做法,加上教育機構更好的網絡衛生,可以建立彈性並幫助組織避免持續中斷網絡攻擊影響下的教學和潛在關閉。
圖片來源:Rawpixel/depositphotos.com
Tod Beardsley 是 Rapid7.